De vraag naar MFA-software is groter dan ooit. De meeste organisaties waarmee wij praten, hebben een weten waar hun huidige authenticatiesystemen tekortschieten. Maar ze weten zelden wat multifactor authenticatie software te bieden heeft. Dus stellen ze zelden de juiste vragen, en kopen ze matige multi-factor authenticatiesoftware. Gevolg: meer account takeovers, slechte UX, en ontevreden gebruikers.
We willen dat voorkomen. In dit artikel ontdekt u welke essentiële vragen u moet stellen en hoe u multifactor authenticatiesoftware kan evalueren:
Veiligheidsimpact
De meeste organisaties willen MFA om account takeovers en credential theft te voorkomen. Maar hoe weet u welke software de meeste bescherming biedt? Dit zijn de belangrijkste vragen die u moet stellen om de veiligheidsimpact van MFA software te evalueren.
Sluit de software het gebruik van wachtwoorden uit?
Wachtwoorden veroorzaken 81% van de datalekken. Ze zijn vatbaar voor guessing, man-in-the-middle, social engineering en andere cyberaanvallen, dat is bekend. Dus proberen organisaties gebruikers te verplichten langere en complexere wachtwoorden te gebruiken. Vergeefse moeite. Complexere wachtwoorden zHelaas zorgen dat alleen maar voor meer wrijving. Om uw gebruikers te beschermen, vertrouwt u best niet op wachtwoorden.
Zorg ervoor dat de authenticatietechnologie die u overweegt echt wachtwoordloos is. Veel leveranciers die wachtwoordloos beweren te zijn, gebruiken wachtwoorden nog als terugvalmethode.
Vraag de MFA-verkoper ook of zijn oplossing gebruik maakt van factoren uit twee of meer categorieën. De factorcategorieën zijn:
- Bezit, d.w.z. wat een gebruiker heeft, zoals een app, een kaartlezer, of een telefoon.
- Inherentie, d.w.z. wat een gebruiker is zoals een vingerafdruk of een gezichtsscan.
- Kennis, d.w.z. wat een gebruiker weet, zoals een pincode.
MFA bestaat per definitie uit factoren uit twee of meer categorieën gebruiken. Gebruikers verplichten een wachtwoord en een pincode te gebruiken om in te loggen is geen MFA en biedt niet meer bescherming tegen aanvallers.
Worden de authenticatiefactoren in zero-knowledge geverifieerd?
Om de beste veiligheid te bieden, mogen authenticatiefactoren op geen enkele server worden opgeslagen. De server mag deze gegevens tijdens de verificatie ook niet ontdekken of leren. Een aanvaller zou anders een server kunnen hacken en de gehackte gegevens kunnen gebruiken om zich voor te doen als een legitieme gebruiker. Als u authenticatiegegevens wel op de servers laat opslaan, hebt u specifieke beveiligingshardware en de nodige processen nodig om ervoor te zorgen dat deze gegevens alleen binnen deze beveiligde hardware bekend zijn.
Garandeert de MFA-software de juridische onweerlegbaarheid van elke authenticatie of elektronische handtekening?
Dit sluit aan bij de vorige vraag. Een goed ontwikkeld cryptografisch protocol, zoals het onze, garandeert juridische onweerlegbaarheid. Onweerlegbaarheid is essentieel als u de MFA-software wilt gebruiken om transacties of contracten te bevestigen of te ondertekenen.
Maakt de software gebruik van cryptografie voor de bezitfactor?
Een challenge-responspatroon op basis van cryptografische sleutels zorgt voor een sterke vorm van authenticatie op basis van een bezitsfactor, aangezien de eigenlijke authenticatiefactor (d.w.z. een cryptografische sleutel) tijdens de authenticatie niet wordt verzonden. Dit is niet het geval met wachtwoorden of tokens in de cache zijn opgeslagen. Deze worden ter verificatie naar de backend gestuurd en zouden dus onderschept en gekopieerd kunnen worden.
Wat is het niveau van brute-force beveiliging dat wordt geboden?
Een brute-force aanval is een hackmethode die gebruik maakt van trial-and-error om wachtwoorden, inloggegevens en encryptiesleutels te kraken. De hacker probeert meerdere gebruikersnamen en wachtwoorden om verschillende combinaties te testen tot hij de juiste inloggegevens vindt.
Brute-force beveiliging wordt meestal uitgedrukt in bits en geeft aan hoe groot de kans is dat de aanvaller geluk heeft en de inloggegevens kan raden zonder de cryptografische sleutels te kennen. Het geeft ook de bewijswaarde van een authenticatie aan. 20-bit komt overeen met een waarschijnlijkheid van één op een miljoen dat een aanvaller de inloggegevens juist raadt. U kunt het beste geen genoegen nemen met een oplossing die minder dan 128-bit brute-force beveiliging biedt. Dit garandeert bescherming tegen alle realistische brute-force aanvallen.
Is de multifactor authenticatiesoftware getest op penetratie?
Een penetratie- of pentest is een gesimuleerde cyberaanval om uitbuitbare kwetsbaarheden van een computersysteem te controleren. Dit kan inhouden dat men probeert in te breken in toepassingssystemen om kwetsbaarheden aan het licht te brengen. De MFA-software die u overweegt, moeten deze tests hebben doorstaan.
Compliance
Zal de MFA-software uw helpen aan PSD2/Strong Customer Authentication, eIDAS en GDPR te voldoen?
Een authenticatiesoftware moet u helpen diensten te verlenen die verder gaan dan alleen inloggen. Deze diensten kunnen bestaan uit authenticatie in een app voor bankdiensten, het uitvoeren van betalingen, het elektronisch ondertekenen van documenten en andere activiteiten die vaak onderwerp zijn juridische betwisting. Alle activiteiten die met de MFA-software worden verricht, moeten juridische onweerlegbaar zijn.
Gebruikerservaring
Authenticatieflows en -methoden zijn een instrument voor een frictieloze gebruikerservaring. Trage authenticatieprocessen kunnen uw drop-off rate met 7% per seconde verhogen. Ontdek hoe u ervoor kunt zorgen dat een multi-factor authenticatie oplossing gunstig is voor uw gebruikerservaring.
Kunnen gebruikers dankzij de software met een minimaal aantal gebruikersinteracties en stappen acties voltooien?
Er zijn talrijke manieren om de mate van frictie te meten. De eenvoudigste manier is om het aantal vereiste gebruikersinteracties en -stappen te tellen om een actie te voltooien. Met onze mobiele multifactor authenticatiesoftware kunnen uw gebruikers met een enkele vingerscan inloggen zonder dat dit ten koste gaat van de cyberveiligheid. Klik op de knop hieronder en ontdek er meer over.
Is het een white-label software of kan het geïntegreerd worden in uw toepassingen? Biedt de verkoper bijvoorbeeld een uitgebreide API en SDK's?
Met een mobiele SDK kunt u de oplossing naadloos in uw app integreren en een uniforme authenticatie-ervaring bieden. De gebruiker hoeft dan geen authenticator app van derden te downloaden. Dat is gemakkelijker voor uzelf en voor de gebruiker, verlaagt uw abandonment rate en verhoogt de conversies. Onze mobiele SDK’s recreëren de kernfunctionaliteit die u nodig hebt om uw app en webportalen volledig wachtwoordloos te maken. Ontdek wat onze Mobile SDK voor u kan doen.
Kan de software op Android en iOS draaien?
De software moet in alle besturingssystemen kunnen draaien.
Kunt u de oplossing gebruiken voor web- en niet-webtoepassingen, bijvoorbeeld authenticatie in en tussen mobiele apps, kiosken, enz.
Idealiter schaft u een MFA-oplossingen die u kan inbedden in uw mobiele app en waarmee uw gebruiker zowel in uw mobiele en webapp kan inloggen. Hierdoor vervalt de noodzaak om verschillende authenticatiesystemen aan te schaffen, te implementeren, te verstrekken en te beheren.
Biedt de oplossing genoeg context om de gebruiker weloverwogen beslissingen te helpen nemen?
Goed getimede context en informatie zijn cruciale ingrediënten voor een frictieloze gebruikerservaring. Als de leverancier dit goed doet, zullen uw gebruikers een minimaal aantal interacties nodig hebben om in te loggen op uw web- of mobiele app.
Biedt de leverancier modules of API's om zelfregistratie en zelfbeheer van gebruikers mogelijk te maken?
Door meerdere apparaten en authenticatiemethoden te ondersteunen, kunnen gebruikers zich ook authenticeren als zij hun primaire apparaat niet hebben of zich onder normale omstandigheden niet kunnen authenticeren. Self-servicemogelijkheden, zoals het registreren van nieuwe apparaten en het kiezen tussen verificatiemechanismen, verlichten de administratieve last van het IT-team, versnellen de adoptie van gebruikers en zijn cruciaal voor het behoud van gebruikers.
Total Cost of Ownership
De kosten zijn een belangrijke overweging bij de evaluatie van MFA-software. Helaas is het niet eenvoudig om te bepalen welk budget nodig is voor de aankoop, implementatie, uitrol, upgrade en beheer van de software. De volgende vragen zullen u helpen de prijs van multifactor authenticatieoplossingen in te schatten:
Basisprijsmodel
Is de prijsstelling per gebruiker, actieve gebruiker, apparaat, integratie, authenticatie, enz.
Active User Pricing is eenvoudig, dynamisch en kosteneffectief. De abonnementskosten worden automatisch berekend en aangepast aan het exacte gebruik. Dit prijsmodel sluit automatisch inactieve gebruikersaccounts uit bij de berekening van de maandelijkse kosten.
Zijn er kosten verbonden aan elke authenticatiepoging?
Als u oplossingen voor meerfactorauthenticatie overweegt die berusten op sms’jes, e-mails of telefoongesprekken, neem dan de bijbehorende kosten mee in uw overwogen uitgaven. Het beste is echter om dit soort oplossingen niet te kiezen, om redenen die we eerder hebben genoemd.
Is de oplossing een SaaS-product, wordt het ingezet als een managed service of een in-house product?
Bij een SaaS-product behoudt de leverancier de controle. Dit brengt kosten met zich mee en vermindert uw controle met een sterke vendor lock-in. Een goede SLA is dan cruciaal, maar zal de prijs verhogen. Door software als managed service of in-house uit te voeren, behoudt u de controle over de oplossing, de uitrol, het service- en prestatieniveau en de kosten ervan. Als u de authenticatiesoftware in dezelfde omgeving als uw andere systemen implementeert, kan u problemen sneller detecteren en oplossen en kan u het aantal leveranciers dat bij dit proces betrokken zijn, beperken
Directe kostencomponenten
Kan u dankzij de software wachtwoorden, sms'en, HSMs en hardwaretokens als authenticatiefactoren vermijden en zo kosten besparen?
Wachtwoorden zijn duur. Organisaties betalen tussen €63 en €184 per wachtwoordreset, en tot 50% van de helpdesk calls zijn gerelateerd aan wachtwoord resets. Dat is een enorm verlies aan mensuren en geld. Ondernemingen besteden vaak miljoenen aan wachtwoordgerelateerde support alleen.
SMS’en drijven de kosten ook de hoogte in. Bedrijven betalen tot 15 eurocent per sms. Bovendien zijn smsen vatbaar voor phishing en social engineering. Hardware-authenticatiefactoren worden veiliger geacht dan sms’en, maar ze moeten worden aangeschaft en vervangen als ze kapot of verloren gaan. Met wachtwoordloze multifactor authenticatie software kunt u deze kosten volledig vermijden
Uitrol- en migratiekosten voor eindgebruikers
Moet extra middelen voorzien om de MFA-software uit te rollen?
Moet u een extra medewerker aanwerven, een van uw huidige medewerkers toewijzen of op een supportwerknemer van de leverancier rekenen om de oplossing uit te rollen? Nogmaals: niet eenvoudig te beoordelen, maar als uw leverancier voldoende documentatie verstrekt en als de oplossing is uitgerust met API’s, een geïntegreerde IdP en mobiele SDK’s, zouden de meeste organisaties met een IT-afdeling in staat moeten zijn de software snel te implementeren.
Strategische bedrijfswaarde
De meeste organisaties schaffen multifactor authenticatie software aan om 1 of 2 specifieke problemen op te lossen. Wij vinden dat een MFA-oplossing meer moet bieden. Evalueer met deze vragen te stellen hoe MFA-software uw organisatie nog meer van waarde kan zijn.
Past de MFA-oplossing bij ons implementatiemodel?
De authenticatiesoftware die u overweegt, moeten naadloos aansluiten bij uw implementatiemodel. Het moet on-premise of in elke cloudomgeving kunnen draaien, het eigendom, de schaal en de toegang van de cloud.
Kan u dankzij de software het authenticatieproces van uw gebruikers volledig beheren?
Dit is om drie redenen van belang: ten eerste kunt u zo het proces naadloos bepalen en uw gebruikers in uw omgeving houden. Ten tweede zou een externe aanbieder van MFA-oplossingen weten hoe, waar en wanneer uw gebruiker inlogt op zijn account, wat privacyproblemen oplevert. Ten derde, vormt een externe aanbieder een extra risico voor de beveiliging van een organisatie, omdat die de gegevens van uw gebruikers opslaat,.
Is de MFA-oplossing compatibel met andere bedrijfsinitiatieven, zoals het mogelijk maken van werken op afstand of het onboarden van cloudapplicaties? En kan het in onze Single Sign On (SSO) geïntegreerd worden?
Een authenticatieoplossing moet uw organisatie in staat stellen deze initiatieven te vergemakkelijken in plaats van ze te belemmeren. Zoek MFA-software die authenticatie op alle apparaten en locaties mogelijk maakt zonder de UX en uw cybersecurity in gevaar te brengen
Ondersteunt de authenticatieoplossing alle mogelijke authenticatie use-cases?
Door alle authenticatiesystemen en -flows te inventariseren, en te evaluaren kunt u de voorwaarden opstellen waaran een MFA-software aan moet voldoen. De volgende stap is het vinden van een leverancier die zijn aanbod kan afstemmen op uw behoeften. Vermijd leveranciers en oplossingen die moeilijk aanpasbaar zijn aan uw specifieke noden.
Is de verkoper bereid en in staat zijn productaanbod uit te breiden, eventueel met technologie van derden, om uw authenticatie-uitdagingen op te lossen?
Dit sluit aan bij het vorige punt. Uw leverancier moet meer bieden dan een MFA-oplossing. Het moet ook een uitstekende ondersteuning en klantenservice bieden. Sommige leveranciers bieden een one-size-fits-all oplossing en komen daarmee weg op basis van hun reputatie en omvang. Kies leveranciers die bereid zijn zich aan te passen en in te spelen op uw behoeften in plaats van u te dwingen hun oplossingen voor meerfactorauthenticatie in uw systemen in te passen.
Integratie en uitrol
Het integreren van een multi-factor authenticatie oplossing kan een langdurige en kostbare aangelegenheid zijn. Dit zijn de vragen die u moet stellen aan de verkoper die u interviewt om er zeker van te zijn dat dit niet het geval is.
Analyse en bewijs van concept
Biedt de verkoper u een oplossing die aan uw eisen voldoet?
De eerste vereiste voor een vlotte en budgetvriendelijke integratie is dat de oplossing voor meerfactorauthenticatie aan uw behoeften voldoet. We hebben het er al eerder over gehad. Pas op voor verkopers die niet bereid zijn hun aanbod aan te passen aan uw eisen.
Heeft u de mogelijkheid om een proof of concept uit te voeren?
Hoewel sommige organisaties een proof of concept aan zich voorbij laten gaan, adviseren wij u er een uit te voeren. Dit zal u helpen bepalen of een MFA-oplossing levensvatbaar is in uw systeem en of die voldoet aan uw vereisten. Het is essentieel dat de leveranciers waarmee u in gesprek bent, proofs of concept toestaan.
Uitrol
De daadwerkelijke implementatie van software is een pittig project voor een organisatie. In deze kritieke fase gaan vaak mensuren en budgetten voor extra hulpmiddelen verloren. U kunt de kosten en inspanningen beperken indien u een leverancier en MFA-software kiest die de implementatie vergemakkelijken.
Is de multifactor authenticatieoplossing cloudagnostisch?
Kan u de software oplossing in alle cloud-implementatiemodellen gebruiken? Cloudagnostische oplossingen maken het gemakkelijker om de oplossing direct naast uw cloud-hosted applicaties in te zetten, ongeacht de cloud providers die u gebruikt en in de toekomst van plan bent te gebruiken. Wees niet gebonden aan één specifieke cloudprovider vanwege uw multifactor authenticatie.
Bevat de oplossing RESTful API's, SDK's of plugins?
RESTful API, Mobile SDK’s, plugins en geïntegreerde IdP via SAML of OIDC garanderen een snelle integratie in uw toepassingen en systemen en helpen u controle te houden over uw cyberbeveiligingsinfrastructuur. Deze tools vereenvoudigen de integratie in andere toepassingen en maken het voor uw ontwikkelaars gemakkelijker om snel authenticatie toe te voegen en terug te gaan naar de ontwikkeling van nieuwe, strategische functies die de bedrijfswaarde verhogen.
Conclusie
Deze vragenlijst kan overweldigend lijken, vooral omdat dit slechts een greep is van de vragen die u zou moeten stellen. Om het evalueren van MFA-oplossingen en MFA-leveranciers voor u gemakkelijker te maken, en om de beste MFA-oplossing voor uw organisatie te vinden, hebben wij de Requirements Checklist for Multi-Factor Authentication solutions ontwikkeld. De checklist is voorlopig enkel in het Engels beschikbaar, maar zal u helpen alle MFA-oplossingen te evaluaren en te vergelijken. Bovendien kunt u hiermee ook uw huidige authenticatiesystemen toetsen. Klik op de onderstaande banner en download uw checklist.
